La sottovalutazione degli aggiornamenti

" class="img-responsive"/>

"Prevenire e' meglio che curare" sembra uno spot pubblicitario di qualche tempo fa. La realta' e' che la gestione dei Sistemi Informativi e' cambiata, e necessita una continua manutenzione.

Quando si parla di aggiornamenti di sistema, roteano occhi, partono trafile di pensieri coloriti e si innescano pensieri di leggende metropolitane. Alcuni miti suggeriscono che fare gli aggiornamenti sia una cosa inutile, altri sostengono che diano problemi. La reealta' dei fatti e' che conoscere cosa succede ad un sistema consente una maggiore comprensione di come questo funziona. E come non funziona.

Nell'ambito dell'Information Technology direi che possiamo distinguere tre tipologie di sistemi aggiornabili. In questo blog non mi spingo ai sistemi industriali, che probabilmente meritano una riflessione aggiuntiva, che magari saro' in grado di evolvere in futuro.

Ci troviamo generale con:

• Client di rete, siano essi Windows, Linux o MacOS;
• Server (come sopra)
• Appliance
• BYOD (lo so, ho detto tre, infatti non contemplero' i BYOD)

I primi sono quelli piu' scontrosi. Aggiornare un sistema operativo client, e' importante. Nel 99% dei casi la classica procedura "installa e vai" funziona per gli utenti, che possono tranquillamente procedere sulla fiducia (o non fiducia) che ripongono nel vendor del proprio sistema. Basti vedere la quantita' di bug e correzioni, ma anche perfezionamenti che vengono introdotti ad ogni aggiornamento di sistema, principalmente rivolti ad una maggiore sicurezza del sistema stesso. Non e' vero che siano inutili, men che meno il fatto che generino problemi. Un'altra leggenda metropolitana e' il fatto che sistemi operativi alternativi a Windows siano immuni da aggiornamenti. FALSO. Sono tanto esposti quanto Windows, semplicemente se ne parla di meno.

I sistemi server gia' cominciano ad essere piu' interessanti. Se applichiamo la tesi che dice che "la difficolta' di risoluzione di un problema, e' inversamente proporzionale alla conoscenza che si ha del problema stesso", aggiornare un sistema Windows, Linux o MacOS ha lo stesso peso che riveste quello dell'aggiornamento client. Se, d'altro canto, ci affidiamo all'aggiornamento automatico, o meglio "automagico", allora qualche problema lo potremmo avere, se cambia - per esempio - il comportamento di una libreria di sistema. Per non parlare dei soliti ignoti, pensiamo al semplice aggiornamento di un processore come PHP, che dalla 5.3 alla 5.4 potrebbe introdurre dei blocchi, anche totali, delle proprie applicazioni.

L'ultima categoria (contemplata) e' decisamente quella degli appliance. Questi possono essere apparati di rete, firewall, storage NAS, storage in SAN o altri apparati senza un Sistema Operativo interattivo. Qui le cose diventano decisamente piu' complesse. In primo luogo perche' i dispositivi sono estremamente verticalizzati, in secondo luogo perche' il loro funzionamento e' tutt'altro che euristico. Qui la legge della conoscenza del problema va applicata a puntino, perche' l'aggiornamento necessita di una accurata conoscenza di quello che e' il funzionamento alla base del sistema, e le conseguenze del suo aggiornamento (o non aggiornamento).

I Sistemi Informativi possono considerarsi ormai un ecosistema molto complesso, le cui dinamiche sono tutt'altro che casuali. Esistono condizioni specifiche in cui i problemi si verificano, e il patch-management diventa cruciale per poter affrontare e risolvere i problemi. Aggiornare un sistema significa risolvere problemi pre-esistenti, introdurre nuove funzionalita', introdurre nuove problematiche. Diciamo pure le cose come stanno: il sistema perfetto non esiste. Tuttavia esiste un continuo evolversi di tecnologie, piattaforme e soluzioni che richiede un ciclo vitale di manutenzione che puo' essere ridotto al minimo se eseguito con costanza e metodo.

Il processo di patch management richiede un sistematico approccio all'acquisizione di informazioni sull'aggiornamento, tipicamente accessibile tramite il sito del produttore (bollettini di aggiornamento, release notes o changelog). Conoscere quali sono i cambiamenti che gli aggiornamenti apportano consentono una previsione (forecast) di possibili problemi o, meglio ancora, di aggirare un aggiornamento non strettamente necessario o che potrebbe alterare il comportamento del nostro sistema. L'acquisizione delle informazioni sulle patch porta a conoscenza, specie nel caso degli appliance, anche delle limitazioni di funzionamento o dei problemi noti (known issues) dei sistemi, che consente di aggirare tecnicamente il verificarsi dei problemi o di sapere come aggirarli in caso si verificassero.

Esiste poi, piu' spesso nel caso degli appliance che di sistemi operativi in se, il bisogno di scalare al supporto di livello superiore, tipicamente del vendor. Questi, comunemente, richiede sempre per prima cosa (giustamente) se il sistema e' aggiornato all'ultima revisione di firmware o sistema operativo. Qualora cosi' non fosse, viene suggerito di arrivare all'ultima revisione disponibile di quel firmware o sistema operativo per poter ottenere il supporto (qualora ancora servisse).

Ultima peculiarita', non per importanza, e' il "requisito minimo" per effettuare un aggiornamento. Anche in questo caso piu' tipicamente applicabile ai device, esistono delle "patch" che possono essere installate solo se altre sono state precedentemente applicate. Naturalmente in caso di aggiornamenti "a recupero", tale operazione potrebbe dilungare il fermo macchina o applicazione, per non parlare delle conseguenze che potrebbe avere sul software in appoggio.

Questo, per l'utente finale, ha un impatto importante inevitabilmente. Un sistema fermo per un guasto non programmato ha un impatto economico variabile. Pensiamo per esempio al malfunzionamento di un sottosistema storage in fibra che si ferma perche' non e' in grado di dialogare correttamente con VMware. Le conseguenze potrebbero essere sgradevoli e finire anche in una perdita di consistenza di dati, di cui non vorremmo mai sentir parlare (e non auguro a nessuno). L'assistenza del vendor suggerisce un aggiornamento di sistema, che andra' applicato nella migliore delle ipotesi, in una sola volta, in regime straordinario. La peggior condizione desiderabile.

Il patch-management non e' un'operazione inutile, non e' problematica, non e' un modo che il vendor ha per "estorcere" denaro. E' da gestire, e nell'ecosistema IT di oggi e' un elemento vitale del suo mantenimento e sviluppo. La conoscenza delle interazioni tra i diversi sistemi consente di avere una buona visione in prospettiva di problemi e comportamenti delle varie attivita' di manutenzione, e anche delle problematiche che si verificano nel contesto dei sistemi stessi.

Per l'utenza finale la gestione di questo tipo di problematica e' economicamente efficace perche' riduce drammaticamente la quantita' di problemi che possono verificarsi, o li rende casomai "noti" e gestibili. Un problema noto, e' pur sempre un problema che puo' essere monitorato e compensato con apposite soluzioni. Possono essere gestiti in modo "ordinario" in momenti meno delicati dell'attivita', lasciando sempre un sistema che funziona in modo fluido e senza inceppamenti che possano mettere a repentaglio il buon funzionamento dell'Azienda e della sua Rete. In casi straordinari, poi, e' possibile accedere al supporto e all'assistenza tecnica in modo piu' rapido e puntuale, riducendo i tempi morti e rischio di perdita di dati o funzionalita'.

Da questo punto di vista, e' importante che le Aziende possano trovarsi allineati con partner tecnologici che forniscano non solo l'assistenza on-demand, ma che possano anche affiancare le Aziende con attivita' di verifica ordinaria e processi di aggiornamento, che possono anche essere gestite su base mensile o persino trimestrale in alcuni casi. E' altrettanto importante che tali partner forniscano, a corredo delle proprie attivita', un registro di manutenzione e patch management che dia visibilita' all'Azienda, in modo chiaro e non tecnico qual'e' il livello di aggiornamento rispetto alle patch rilasciate dal Vendor dei prodotti. E si tratta di un tipo di soluzioni che non necessariamente deve essere rivolta ad aziende di fascia medio-alta, ma e' decisamente applicabile - anzi sarebbe doveroso dire che sarebbe piu' indicata - al segmento SMB che purtroppo e' abbastanza abbandonato a se stesso, specie se si leggono le considerazioni sulla qualita' dei Sistemi Informativi in questo segmento.